Um kit de desenvolvimento de software (SDK) criado pela gigante chinesa Baidu e usado por milhares de aplicações Android contém um recurso que dá a invasores acesso do tipo backdoor a dispositivos de usuários.
O SDK é chamado de Moplus e mesmo não estando aberto ao público, ele é integrado a mais de 14 mil apps, dos quais apenas cerca de 4 mil foram criados pela Baidu, disseram pesquisadores de segurança da Trend Micro neste último domingo.
A companhia estima que os aplicativos afetados são usados por cerca de 100 milhões de pessoas. De acordo com os analistas da Trend Micro, o SDK Moplus abre um servidor HTTP em dispositivos onde os apps afetados estão instalados, o servidor não usa autenticação e aceita pedidos de qualquer um na Internet.
E pior, enviando pedidos para esse servidor escondido, invasores conseguem executar comandos pré-definidos que foram implementados no SDK. Isso pode ser usado para extrair informações sensíveis como localização, e histórico de buscas, assim como adicionar novos contatos, publicar arquivos, realizar chamadas e instalar outros aplicativos.
Em dispositivos que foram hackeados, o SDK permite a instalação silenciosa de aplicações, o que significa que uma confirmação não será enviada a usuários.
De fato, os pesquisadores da Trend Micro já encontraram um worm que dá acesso a porta dos fundos para instalar aplicações não desejadas. O malware é detectado como ANDROIDOS_WORMHOLE.HRXA.
Os pesquisadores de segurança acreditam que de muitas formas a falha Moplus é pior que aquela descoberta no início deste ano na biblioteca Stagefright Android, uma vez que esta, pelo menos, exigia que invasores enviassem mensagens multimedia maliciosas para telefones de usuários ou ainda os levavam a abrir uma URL maliciosa.
A fim de explorar o Moplus, hackers podem simplesmente digitalizar todas as redes móveis para endereços de Protocolo de Internet que contém o servidor HTTP Moplus, explicaram os pesquisadores.
A Trend Micro já notificou o Google e a Baidu a respeito da falha de segurança. A gigante chinesa lançou uma nova versão de seu SDK na qual removeu alguns comandos, mas o servidor HTTP ainda está sendo aberto e alguma funcionalidade pode ser usada, de acordo com a Trend Micro.
Segundo um porta-voz da Baidu, a companhia já reparou todas as questões de segurança reportadas até o dia 30 de outubro. "O código restante que foi identificado no último relatório [Trend Micro] como potencialmente problemático, após o reparo está atualmente morto, sem nenhum efeito".
Não há backdoors, disse o representante acrescentando que o código inativo será removido na próxima versão do aplicativo da companhia. Entretanto, a questão que fica é o quão rápido todos os desenvolvedores third-part que usam o kit SDK atualizará seus aps com a última versão.
